forense computacional introdução

54
In tro d u ç ã o à F o re n s e Computacional In tro d u ç ã o à F o re n s e Computacional To n y R o d rig u e s , C IS S P, C F C P, S ecurity+ To n y R o d rig u e s , C IS S P, C F C P, S ecurity+ in v.fo re n s e a rro b a g m a il p o n to com in v.fo re n s e a rro b a g m a il p o n to com

Upload: tonyrodrigues

Post on 18-Nov-2014

4.113 views

Category:

Documents


4 download

DESCRIPTION

Introdução a Forense Computacional

TRANSCRIPT

Page 1: Forense Computacional Introdução

I n t r o d u ç ã o à F o r e n s e C o m p u ta c io n a lI n t r o d u ç ã o à F o r e n s e C o m p u ta c io n a lTo n y R o d r ig u e s , C IS S P, C F C P, S e c u r i t y +To n y R o d r ig u e s , C IS S P, C F C P, S e c u r i t y +

in v .f o r e n s e a r r o b a g m a i l p o n t o c o min v .f o r e n s e a r r o b a g m a i l p o n t o c o m

Page 2: Forense Computacional Introdução

T e rm o d e is e n ç ã o d e r e s p o n s a b i l id a d eT e rm o d e is e n ç ã o d e r e s p o n s a b i l id a d e

• Não nos responsabilizamos pelo mal uso das informações aqui prestadas

• Aproveite este material para ampliar seus conhecimentos em Forense Computacional e usá-los com responsabilidade.

Page 3: Forense Computacional Introdução

A g e n d a

• Objetivos• A internet no cenário mundial e

brasileiro• Ciência Forense e Forense

Computacional• Profissionais envolvidos• Principais aspectos da Forense

Computacional• Técnicas de Análise• Novidades na área • Material indicado• Conclusão

Page 4: Forense Computacional Introdução

O b je t iv o sO b je t iv o s

• Introduzir os conceitos de Forense Computacional• Mostrar os principais aspectos de uma investigação

digital• Atualizar a todos com as novidades da área

Page 5: Forense Computacional Introdução

Por que precisamos de Forense Computacional ?

Page 6: Forense Computacional Introdução

Porque não temos mais hackers como esses ...

Page 7: Forense Computacional Introdução

A Internet no c enário A Internet no c enário mundia l e bras ileiro mundia l e bras ileiro

Page 8: Forense Computacional Introdução

C r e s c im e n to d a In t e r n e t e a c r im in a l id a d e C ib e r n é t ic a

• Cenário Mundial– Alta dependência da Tecnologia da Informação

– Virtualização da sociedade (comunidades on-line)

– Alta oferta de serviços “on-line”, desde instituições financeiras, até supermercados

– Empresas estão apoiando suas estratégias em componentes tecnológicos: significa fazer mais, melhor e com maior controle, em menor tempo e com menor custo.Tecnologia = diferencial estratégico

Page 9: Forense Computacional Introdução

E s ta t í s t ic a m u n d ia l d e u s o d a In t e r n e t

Page 10: Forense Computacional Introdução

O B r a s i l n a s e s t a t í s t ic a s

Page 11: Forense Computacional Introdução

O B r a s i l n a s e s t a t í s t ic a s

Page 12: Forense Computacional Introdução

O B r a s i l n a s e s t a t í s t ic a s

FRAUDE

Page 13: Forense Computacional Introdução

O B r a s i l n a s e s t a t í s t ic a s

• Incidentes de segurança da informação crescem 191% em 2006 (68000 incidentes em 2005 x 197892 em 2006)

• Fraudes: aumento de 53% em 2006.• As primeiras ações geradas após um

incidente de segurança acabam prejudicando o processo de investigação e de perícia

Page 14: Forense Computacional Introdução

C rimes C ibernétic os (Cybercrime)

• Definição: Ato ilegal envolvendo um computador, seus sistemas ou aplicações

• Abrange somente situações intencionais• Verifica as ferramentas usadas, o alvo e as

circunstâncias do crime

Page 15: Forense Computacional Introdução

C rimes es pec ia lizados ma is c omuns

• Envio de informações confidenciais por e-mail

• Ataque por concorrentes ou ex-funcionário

• Fraude em sistemas financeiros (Internet banking)

• Instalação de cavalos-de-tróia em estações de trabalho

• Envio de ameaças por e-mail• Remoção ou alteração indevida de

informações• Pedofilia

Page 16: Forense Computacional Introdução

Leg is laç ão - E uropa

Page 17: Forense Computacional Introdução

Leg is laç ão - E U A

• United States Code – Title 18 –Part I Crimes:– Seção 875: Interstate Communications: Including threats,

Kidnapping, Ransom, Extortion

– Seção 1029: Fraud and Related Activity in connection with access devices

– Seção 1030: Fraud and Related Activity in connection with Computers

– Seção 1343: Fraud by Wire, Radio or Television

– Seção 1361: Injury of Government Property

– Seção 1362: Government Communications System

– Seção 1831: Economic Espionage Act

– Seção 1832: Theft of Trade Secrets

Page 18: Forense Computacional Introdução

Leg is laç ão - B ras il

Page 19: Forense Computacional Introdução

Forens e Forens e

Page 20: Forense Computacional Introdução

C iênc ia Forens e

• Ciência Forense: dividida em diversas disciplinas, atua em conjunto com o investigador na busca pela verdade.

• Pathology Examination of the Dead• Living Cases Toxicology• Anthropology Odontology• Engineering Biology• Geology Psychiatry• Questioned Documents Criminalistics• Jurisprudence Computer Forensics

Page 21: Forense Computacional Introdução

U m pouc o de H is tória

• Hsi Duan Yu: Escreveu o Washing Away of Wrongs, tido por alguns como o primeiro livro de Forense da história

• Antoine Louis: Trabalhava identificando causas de morte

• Mathieu Orfila: Pai da Toxicologia Forense• Francis Galton: Primeiro estudo sobre impressões

digitais• Madame Lafarge: Primeiro caso de uso de Forense em

um tribunal• Albert Osbourne: Princípios de Análise de documentos

Page 22: Forense Computacional Introdução

U m pouc o de H is tória

• Arthur Conan Doyle: Primeiras histórias de Sherlock Holmes

• Leone Lattes: Descobre os grupos sanguíneos• Calvin Goddard: Compara armas e projéteis• Edmund Locard: Propõe o Princípio de Locard• FBI: Cria o primeiro laboratório de Forense• Roland Menzel: Uso de lasers para identificar

impressões digitais• Alec Jeffreys: Descoberta do DNA único• Anthony Zuiker: Criou a série C.S.I e

popularizou a Ciência Forense

Page 23: Forense Computacional Introdução

Forens e C omputac iona l

• É um conjunto metódico de técnicas e procedimentos para capturar evidências de equipamentos de computação ou vários equipamentos de armazenamento de dados e mídias digitais, de forma a serem apresentados em Juízo de forma coerente e significativa.

Dr H. B. Wolfe

Page 24: Forense Computacional Introdução

Forens e C omputac iona l ou R es pos ta a Inc identes ?

• Forense Computacional está ligada a investigações e preservação das evidências

• Resposta a Incidentes refere-se aos procedimentos para conter, tratar e eliminar um incidente de Segurança de Informações

Page 25: Forense Computacional Introdução

Os profis s iona is Os profis s iona is

Page 26: Forense Computacional Introdução

Perito em Forens e C omputac iona l

• É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelo Juiz para responder questões específicas sobre determinado caso.

– Funciona como um assessor técnico do Juiz

– Indicado pelo Juiz

– Honorários definidos pelo Juiz

– Trabalha com prazos especificados

Page 27: Forense Computacional Introdução

As s is tente Téc nic o das Partes

• É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelas Partes de um processo para pesquisar a verdade e apresentá-la sob a forma de Parecer Técnico.

– Funciona como um assessor técnico da Parte.

– Indicado pela Parte, ou pelo advogado da mesma.

– Honorários negociados diretamente com a Parte contratante

– Trabalha com prazos repassados às Partes pelo Juiz

Page 28: Forense Computacional Introdução

Perito C rim ina l em Forens e C omputac iona l

• É o policial ou funcionário público habilitado na área de Forense Computacional.

– Somente por Concurso Público

– É quem trata dos processos quando há crime

– A maior parte está na Polícia Federal, atualmente

Page 29: Forense Computacional Introdução

Inves tig ador em Forens e C omputac iona l

• É o profissional habilitado em Forense Computacional que trabalha no mercado privado

– Funcionário ou Consultor

– Valores negociados diretamente com o contratante

– Realiza investigações sem seguir a formalização

– O resultado pode ou não ser usado em Juízo

Page 30: Forense Computacional Introdução

C onhec imentos e C ompetênc ias do Profis s iona l de Forens e C omputac iona l

- Conceitos gerais sobre Forense Computacional- Detalhes técnicos de vários sistemas operacionais- Detalhes técnicos de vários Sistemas de arquivos- Detalhes técnicos de vários softwares de vários SOs- Escrever um bom relatório- Algum embasamento jurídico, principalmente no modelo

brasileiro de coleta e apresentação das evidências- Coletar evidências em situações diversas (dead acquisition/live

acquisition, usando HD externo, pen drive, via rede, de PDAs, telefones celulares, etc). Tem até Xbox passando por Forense ...

- Técnicas anti-forenses- Lógica investigativa apurada. - Saber lidar com prazos curtos

Page 31: Forense Computacional Introdução

Princ ipa is A s pec tos Princ ipa is A s pec tos

Page 32: Forense Computacional Introdução

Maiores dificuldades

• Ciência ?

– Reprodutível• Aspectos legais

– Cenário ainda indefinido• Criptografia e Obfuscação

– Whole disk encryption

– Esteganografia

– Hydan• Técnicas Anti-Forense

– Meterpreter/SAM Juicer

– Timestomp

Page 33: Forense Computacional Introdução

M odelo de Traba lho em Forens e C omputac iona l

Page 34: Forense Computacional Introdução

Antes de qua lquer c ois a ...

Page 35: Forense Computacional Introdução

Aquis iç ão

Page 36: Forense Computacional Introdução

C uidado na Aquis iç ão !

Page 37: Forense Computacional Introdução

I tens us ados na Aquis iç ão

Page 38: Forense Computacional Introdução

Pres ervaç ão

Page 39: Forense Computacional Introdução

Pres ervaç ão – C adeia de C us tódia

• É um instrumento para manter a integridade

– Evidências são etiquetadas e lacradas

– A etiqueta deve conter o hash da mídia lacrada e informações sobre a aquisição

– A etiqueta também contém a data/hora e a identificação de quem realizou a aquisição

– A lista é mantida, recebendo uma anotação a cada acesso de alguém à evidência

– Esse registro deve conter a referência a pessoa, a data e a hora que levou e devolveu a evidência.

– Sempre lacrada ou no cofre de evidências

Page 40: Forense Computacional Introdução

I tens us ados na fa s e de Pres ervaç ão

Page 41: Forense Computacional Introdução

Aná lis e

• As evidências são analisadas para o levantamento de artefatos que possam corroborar ou negar as teses (suspeitas)

• As técnicas variam conforme:• As suspeitas;• O dispositivo sendo analisado• O sistema operacional• O sistema de arquivos

Page 42: Forense Computacional Introdução

Doc umentaç ão

• É a parte final do trabalho• Pode ser:

– Um relatório investigativo;

– Um Parecer Técnico;

– Um Laudo Pericial• 5 W 1 H

– What, Who, Where, When, Why, How• NUNCA deve-se fazer juízo do caso.

O objetivo é mostrar o que aconteceu!

Page 43: Forense Computacional Introdução

Aná lis e Aná lis e

Page 44: Forense Computacional Introdução

Aná lis e – P rinc ipa is Téc nic as

• Filtragem de arquivos• Busca de informações escondidas

– Obfuscação– Arquivos apagados– Slack Space– File Carving

• Busca por palavras-chave• Esteganografia• Linha do tempo usando MAC Times• Email Traceback• Network Forensics

Page 45: Forense Computacional Introdução

P a c o te s F o r e n s e s

• Guidance EnCase;• AccessData FTK• ASR SMART• iLook Investigator (restrito)• KrollOnTrack Eletronic Data Investigator• Vários softwares da Paraben e da X-Ways

Page 46: Forense Computacional Introdução

Live CDs

• Helix• FCCU

Page 47: Forense Computacional Introdução

Live CDs

• FDTK• FIRE• Penguim

Page 48: Forense Computacional Introdução

Ferramentas Avulsas

• Sleuth Kit• Autopsy• PyFLAG• PTK

Page 49: Forense Computacional Introdução

Novidades

• Software livre• O fim da Forense Nintendo• Aquisição e análise da RAM• Live Acquisition• Emanations• Análise do Registry• Hash parcial• PLS 76/2000

Page 50: Forense Computacional Introdução

L i t e r a t u r a r e c o m e n d a d aL i t e r a t u r a r e c o m e n d a d a

Page 51: Forense Computacional Introdução

L i t e r a t u r a r e c o m e n d a d aL i t e r a t u r a r e c o m e n d a d a

http://forcomp.blogspot.com

http://www.e-evidence.info

Page 52: Forense Computacional Introdução

C o n c lu s ã oC o n c lu s ã o

• A tecnologia, principalmente a Internet, trouxe melhorias enormes para os negócios, mas também criou um novo terreno para os criminosos

• A perspectiva é de que seja cada vez mais necessário o trabalho do Perito/Investigador Forense Computacional

• Há várias ferramentas para o trabalho do profissional de Forense Computacional, incluindo ferramentas com código livre

• As técnicas de análise evoluem a cada dia !– Os crimes também !!!

Page 53: Forense Computacional Introdução

Aviso Legal

O presente material foi gerado com base em informações próprias e/ou coletadas a partir dosdiversos veículos de comunicação existentes, inclusive a Internet, contendo ilustraçõesadquiridas de banco de imagens de origem privada ou pública, não possuindo a intenção de violarqualquer direito pertencente à terceiros e sendo voltado para fins acadêmicos ou meramenteilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes nestaapresentação se encontram protegidos por direitos autorais ou outros direitos de propriedadeintelectual.

Ao usar este material, o usuário deverá respeitar todos os direitos de propriedade intelectual eindustrial, os decorrentes da proteção de marcas registradas da mesma, bem como todos osdireitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma formadisponíveis nos slides. O simples acesso a este conteúdo não confere ao usuário qualquer direitode uso dos nomes, títulos, palavras, frases, marcas, dentre outras, que nele estejam, ouestiveram, disponíveis.

É vedada sua utilização para finalidades comerciais, publicitárias ou qualquer outra que contrariea realidade para o qual foi concebido. Sendo que é proibida sua reprodução, distribuição,transmissão, exibição, publicação ou divulgação, total ou parcial, dos textos, figuras, gráficos edemais conteúdos descritos anteriormente, que compõem o presente material, sem prévia eexpressa autorização de seu titular, sendo permitida somente a impressão de cópias para usoacadêmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e realentendimento de seu conteúdo e objetivo. Em hipótese alguma o usuário adquirirá quaisquerdireitos sobre os mesmos.

O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilizaçãoindevida das informações, textos, gráficos, marcas, enfim, todo e qualquer direito de propriedadeintelectual ou industrial deste material.

Page 54: Forense Computacional Introdução

O b r ig a d o !O b r ig a d o !

Inv ponto forense arroba gmail ponto com

(Tony Rodrigues)